2020年9月11日，国内知名安全团队白帽汇开启了新一轮HVV大型攻防演习。而在这场HVV当中，众多国内知名产品相继暴露出0day漏洞。

　　根据参与此次HVV的相关人士朋友圈和NOSEC网站公布的信息，目前已经发现的0day漏洞包括：

　　1、 WPS：中招会提示软件更新;EXP demo未公开

　　2、 用友GRP-u8：程序注入;EXP demo已公开

　　3、 天融信TOPApp-LB：负载均衡系统SQL注入;EXP demo已公开

　　4、 深信服EDR：RCE漏洞;EXP demo已公开

　　5、 绿盟UTS：绕过登录;EXP demo已公开

　　6、 绿盟UTS：未授权访问;EXP demo已公开

　　同批次公开的还包括奇治堡垒机以及联软等安全厂商的0day漏洞。

　　从此次HVV发现的漏洞来看，多为企业安全相关的软件或解决方案，同时也包含用友GRP-u8这样的企业级应用软件以及金山WPS这样横跨企业和消费两大领域的应用软件。而从漏洞影响的用户范围来看，显然金山WPS的安全影响最大。

　　目前，白帽汇旗下的NOSEC网站已经公布了部分软件的0day漏洞并给予了对应的安全建议;而从相关反馈来看，部分厂商也已经开始采取行动。

　　从漏洞修复难度来看，由于多数产品属于企业级安全产品或应用软件，用户可通过厂商的维护升级解决问题。但其中比较特别的是金山WPS，由于其横跨消费及企业市场，相关的修复和升级方案很可能不同。另外，在软件国产化大潮之下，众多敏感单位纷纷开始采用以WPS为主的替代方案，因此，此次事件的影响可能甚广。且由于相关单位的软件运维水平通常有限，因此，此次事件对于WPS的售后维护能力也将是一次比较重大的考验。

　　关于此次HVV演练中所暴露出的系列0day漏洞，笔者将持续关注相关厂商的后续补救措施和事件进展。